AWS接続のトラブルシューティング 🔗
Splunk Observability Cloud を Amazon Web Services (AWS) アカウントに接続する際に問題が発生する場合、ポリシーと権限の競合が原因である可能性があります。Metric Streams 固有の問題については AWSにおける Metric Streams のトラブルシューティング を参照してください。
注意
Splunk はデータの可用性について責任を負わず、接続してからアカウントから有効なデータが表示されるようになるまで最大数分 (設定によってはそれ以上) かかることがあります。
AWS 接続の検証エラー 🔗
先ほど設定した接続の自動検証の試みは失敗し、Splunk Observability Cloud と AWS アカウント間の接続はありません。
原因 🔗
Identity Access Management (IAM) ポリシーの不一致が原因で接続に失敗する可能性があります。接続障害を診断するには、設定した権限やポリシーを確認し、AWSが要求する権限と比較してください。
エラーメッセージがこの例と同じように見えるかどうかを確認してください:
Error validating AWS / Cloudwatch credentials
Validation failed for following region(s):
us-east-1
[ec2] software.amazon.awssdk.services.ec2.model.Ec2Exception: You are not authorized to perform this operation.
同様のエラーメッセージが表示される場合は、AWS を Splunk Observability Cloud に接続するために作成した IAM ポリシーが、AWS アカウントに既にあるポリシーと一致していません。
同様に、AWS アカウントがサービスコントロールポリシー(SCP)または PermissionsBoundary
のような管理機能を使用している場合、それらの通話が AWS IAM ポリシーでカバーされていても、組織内で発信できる通話に制限がある可能性があります。
解決策 🔗
Splunk Observability Cloud は以下のコールを使用して、CloudWatch メトリクスストリームをサポートする AWS Compute Optimizer ツールからデータを受け入れられるかどうかを検証します:
client.describeInstanceStatus(),
client.describeTags(),
client.describeReservedInstances(),
client.describeReservedInstancesModifications()
client.describeOrganization()
AWS とのインテグレーションが期待通りに動作することを確認するには、Splunk Observability Cloud で選択した設定が AWS 管理コンソールの権限ポリシーと一致していることを確認します。
一致することで、競合するアクセス許可がAWS環境でインテグレーションがブロックされないようにします。利用可能なアクセス許可の詳細については、Amazonドキュメントの 「Amazon CloudWatch permissions reference 「を参照してください。
Splunk Observability Cloud が期待通りに動作しない 🔗
Splunk Observability Cloud 内の機能またはツールが期待どおりに動作しません。
原因 🔗
AWS に接続しても Splunk Observability Cloud の機能が期待通りに動作しない場合、AWS IAM ポリシーにその機能に対するアクセス許可がないか、実装をブロックしている可能性があります。例えば、ec2:DescribeRegions
は、アカウントでどの AWS リージョンがアクティブかを検出するために使用されます。このアクセス許可がないか、リージョンが指定されていない場合、システム設定のデフォルトはAWS標準リージョンになります。予期せぬ問題を避けるためには、regions フィールドに入力することをお勧めします。詳しくは AWS 認証とサポートされるリージョン を参照してください。
メトリクスの収集も、設定したアクセス許可に依存します。
解決策 🔗
IAM ポリシー を見直し、収集する予定のメトリクスまたはその他のデータに必要なアクセス許可が含まれていることを確認します。
Once integrated with your Amazon Web Services account, Splunk Observability Cloud can gather CloudWatch metrics, CloudWatch Metric Streams, or service logs stored in Amazon S3 buckets, and service tag and property information. But leveraging the full power of the integration requires all included permissions.
ステータスチェックのメトリクスが見つからない 🔗
ステータスチェックに関連するメトリクスが見つかりません。
原因 🔗
デフォルトでは、AWS CloudWatchのコストとSplunk Observability Cloudのシステム使用量を削減するため、ステータスチェックメトリクスは有効化されていません。
解決策 🔗
インテグレーションのステータスメトリクスをアクティブにします。
そのためには、以下の手順に従ってください:
API からインテグレーションオブジェクトを取得します:
curl --request GET https://api.<realm>.signalfx.com/v2/integration?type=AWSCloudWatch&offset=0&limit=50&orderBy=-lastUpdated
--header "X-SF-TOKEN:" \
--header "Content-Type:application/json" > integration.json
次と類似したものが表示されます:
{
"count": 2,
"results": [
{
"authMethod": "ExternalId",
"created": 1674862496869,
"createdByName": null,
"creator": "E-tkECKAsAA",
"customCloudWatchNamespaces": null,
"enableAwsUsage": true,
"enableCheckLargeVolume": true,
"enabled": false,
"externalId": "fyprhjmtpxttxwqhotep",
"id": "integration-id",
"importCloudWatch": true,
"largeVolume": false,
"lastUpdated": 1674862497253,
"lastUpdatedBy": "E-tkECKAsAA",
"lastUpdatedByName": "John Smith",
"name": "AWS Dev",
"pollRate": 300000,
"regions": [ "us-east-1", "us-east-2", "us-west-1", "us-west-2" ],
"roleArn": null,
"services": [],
"sfxAwsAccountArn": "arn:aws:iam::134183635603:root",
"syncCustomNamespacesOnly": false,
"syncLoadBalancerTargetGroupTags": false,
"type": "AWSCloudWatch"
},
{
"authMethod": "ExternalId",
"created": 1522297476849,
"createdByName": null,
"creator": "CGa4fY-AoAA",
"customCloudWatchNamespaces": null,
"enableAwsUsage": true,
"enableCheckLargeVolume": false,
"enabled": true,
"externalId": "uoejtvhsjnbcbdbfvbhg",
"id": "DZTsWRwAkAA",
"importCloudWatch": false,
"largeVolume": false,
"lastUpdated": 1671440367214,
"lastUpdatedBy": "CGa4fY-AoAA",
"lastUpdatedByName": "John Doe",
"name": "AWS Prod",
"pollRate": 300000,
"regions": [ "us-east-1", "us-east-2", "us-west-1", "us-west-2" ],
"roleArn": "arn:aws:iam::123456789012:role/splunk-o11y-role",
"services": [],
"sfxAwsAccountArn": "arn:aws:iam::134183635603:root",
"syncCustomNamespacesOnly": false,
"type": "AWSCloudWatch"
}
]
}
ステップ 3 と 4 で説明したように、インテグレーションファイルを修正します。
以下のフィールドは自動的に入力されるため、呼び出しから削除してください:
``created``
``createdByName``
``creator``
``lastUpdated``
``lastUpdatedBy``
``lastUpdatedByName``
false
に設定したignoreAllStatusMetrics
をインテグレーションに含めます。以下のようになります:
{
"authMethod": "ExternalId",
"customCloudWatchNamespaces": null,
"enableAwsUsage": true,
"enableCheckLargeVolume": true,
"enabled": false,
"externalId": "fyprhjmtpxttxwqhotep",
"id": "integration-id",
"ignoreAllStatusMetrics": false,
"importCloudWatch": true,
"largeVolume": false,
"name": "AWS Dev",
"pollRate": 300000,
"regions": [ "us-east-1", "us-east-2", "us-west-1", "us-west-2" ],
"roleArn": null,
"services": [],
"sfxAwsAccountArn": "arn:aws:iam::134183635603:root",
"syncCustomNamespacesOnly": false,
"syncLoadBalancerTargetGroupTags": false,
"type": "AWSCloudWatch"
}
APIを使用して上記のインテグレーションオブジェクトを更新します:
curl --request PUT https://api.<realm>.signalfx.com/v2/integration/<integration-id>
--header "X-SF-TOKEN:" \
--header "Content-Type:application/json" \
--data "@integration.json"
StatusCheckFailed
は常に無視されますが、ステータス情報を得るために、他の2つのステータスチェックメトリクス、StatusCheckFailed_Instance
とStatusCheckFailed_System
を組み合わせることができるようになりました。AWSのステータスチェックメトリクスの詳細については、AWSの公式ドキュメントを参照してください。